PIN vs รหัสผ่าน vs รหัสผ่านแบบวลี: โหมดไหนที่เหมาะกับคุณ?
ตัวสร้างรหัสผ่านจะมีประโยชน์ก็ต่อเมื่อคุณเลือกประเภทของรหัสลับที่เหมาะสมกับงาน ซึ่งนี่คือจุดที่หลายคนมักจะติดขัด พวกเขารู้ว่าต้องการรหัสที่แข็งแกร่งกว่าเดิม แต่ไม่แน่ใจว่าควรสร้างรหัสผ่านแบบสุ่ม รหัสผ่านแบบวลีที่จดจำง่าย หรือ PIN แบบตัวเลข
วิธีตัดสินใจที่ง่ายที่สุดคือเลิกถามว่าตัวเลือกไหนแข็งแกร่งที่สุดในเชิงทฤษฎี แต่ให้ถามว่าตัวเลือกไหนเหมาะกับบริบทการเข้าสู่ระบบนั้นๆ มากกว่า เพราะบัญชีเว็บไซต์ การเข้าสู่ระบบมือถือรายวัน และการปลดล็อกอุปกรณ์ในเครื่องล้วนมีความเสี่ยงที่แตกต่างกัน
หากคุณต้องการเลือกอย่างรวดเร็ว โหมดรหัสผ่านแบบสุ่มบนหน้าแรก คือค่าเริ่มต้นที่ดีที่สุดสำหรับการเข้าสู่ระบบบัญชีส่วนใหญ่ ในขณะที่ โหมดรหัสผ่านแบบวลีที่จดจำง่าย และ ตัวสร้าง PIN บนหน้าแรก จะเหมาะสมกว่าในกรณีที่เฉพาะเจาะจงมากขึ้น กุญแจสำคัญคือการรู้ว่าแต่ละแบบควรใช้งานในจุดไหน
ทำไมโหมดการสร้างรหัสเพียงโหมดเดียวจึงใช้ไม่ได้กับทุกการเข้าสู่ระบบ
รหัสลับที่ใช้ในการเข้าสู่ระบบที่แข็งแกร่งไม่ได้ขึ้นอยู่กับความซับซ้อนเพียงอย่างเดียว แต่ยังขึ้นอยู่กับว่าคุณใช้งานที่ไหนและต้องพิมพ์บ่อยแค่ไหน นอกจากนี้ยังขึ้นอยู่กับว่ามีการใช้โปรแกรมจัดการรหัสผ่าน (password manager) ร่วมด้วยหรือไม่ และรหัสลับนั้นใช้เพื่อปกป้องบัญชีระยะไกลหรือเพียงแค่ปลดล็อกอุปกรณ์ในเครื่อง
นั่นคือเหตุผลที่เว็บไซต์นำเสนอสามโหมดแทนที่จะเป็นโหมดเดียว ทั้งแบบสุ่ม แบบจดจำง่าย และ PIN ไม่ใช่ตัวเลือกที่เน้นเพียงความสวยงาม แต่ช่วยแก้ปัญหาความยุ่งยากในจุดที่แตกต่างกันไป โดยมีเป้าหมายหลักเหมือนเดิมคือการสร้างสิ่งที่แตกต่างและไม่ซ้ำใคร แทนที่จะใช้ข้อมูลประจำตัวเดิมๆ ที่อ่อนแอ
เมื่อไหร่ที่รหัสผ่านแบบสุ่มคือค่าเริ่มต้นที่แข็งแกร่งที่สุด
เหมาะที่สุดสำหรับบัญชีที่คุณจะจัดเก็บไว้ในโปรแกรมจัดการรหัสผ่าน
สำหรับบัญชีเว็บไซต์และแอปส่วนใหญ่ รหัสผ่านแบบสุ่มยังคงเป็นค่าเริ่มต้นที่แข็งแกร่งที่สุด เนื่องจากคาดเดาได้ยาก สร้างให้ไม่ซ้ำใครได้ง่าย และไม่ต้องพึ่งพาความจำหากคุณจัดเก็บไว้อย่างถูกต้อง
นั่นเป็นไปตามมาตรฐานปัจจุบัน NIST SP 800-63B ระบุว่ารหัสผ่านที่ใช้เป็นรหัสลับสำหรับการยืนยันตัวตนแบบปัจจัยเดียว (single-factor authentication) ควรมีความยาวอย่างน้อย 15 ตัวอักษร นั่นคือเหตุผลหนึ่งที่ตัวสร้างรหัสผ่านมีประโยชน์มากสำหรับการเข้าสู่ระบบที่บันทึกไว้ เพราะช่วยให้สร้างชุดอักขระที่ยาวและไม่ซ้ำใครได้ง่ายโดยไม่ต้องคิดขึ้นมาเอง
กรณีที่ชุดอักขระแบบสุ่มสร้างความยุ่งยากมากกว่าประโยชน์
ชุดอักขระแบบสุ่มจะสะดวกน้อยลงเมื่อคุณต้องพิมพ์บ่อยๆ บนโทรศัพท์ แท็บเล็ต รีโมททีวี หรือพื้นผิวการป้อนข้อมูลอื่นๆ ที่ไม่สะดวก ในกรณีเหล่านั้น รหัสที่แข็งแกร่งที่สุดตามทฤษฎีอาจบีบให้ผู้คนไปใช้วิธีที่ไม่ปลอดภัย เช่น การเก็บรหัสผ่านไว้ในบันทึกทั่วไป หรือการใช้รหัสที่ง่ายกว่าซ้ำๆ ในภายหลัง
นั่นไม่ได้หมายความว่ารหัสผ่านแบบสุ่มเป็นสิ่งที่ไม่ดี แต่หมายความว่ารหัสผ่านเหล่านี้จะใช้งานได้ดีที่สุดเมื่อใช้ร่วมกับโปรแกรมจัดการรหัสผ่านหรือวิธีอื่นที่เชื่อถือได้ในการจัดเก็บและกรอกข้อมูลอัตโนมัติ
เมื่อไหร่ที่รหัสผ่านแบบวลีคือทางเลือกที่คุ้มค่ากว่า
เหมาะสำหรับข้อมูลเข้าสู่ระบบที่คุณต้องพิมพ์บ่อยๆ
รหัสผ่านแบบวลีที่จดจำง่ายอาจเป็นทางเลือกที่คุ้มค่ากว่าเมื่อคุณต้องการรหัสลับที่ต้องพิมพ์เป็นประจำและไม่สามารถพึ่งพาการกรอกข้อมูลอัตโนมัติได้ตลอดเวลา วลีที่ยาวซึ่งประกอบด้วยคำที่ไม่เกี่ยวข้องกันมักจะพิมพ์ง่ายกว่าและลดโอกาสที่คุณจะแอบจดไว้ในที่ที่ไม่ควร
ทาง NIST ยังสนับสนุนการใช้รหัสลับที่ยาวขึ้นและยืดหยุ่นมากขึ้นในส่วนนี้ด้วย คำแนะนำเดียวกันจาก NIST ระบุว่าระบบควรยอมรับอักขระ ASCII ที่พิมพ์ได้ทั้งหมดรวมถึงช่องว่าง และยังระบุว่าควรอนุญาตความยาวสูงสุดอย่างน้อย 64 ตัวอักษร ซึ่งเปิดช่องให้ใช้รหัสผ่านแบบวลีที่ยาว แทนที่จะบีบให้ผู้ใช้ต้องใช้ชุดอักขระสั้นๆ ที่จดจำยาก
กรณีที่รหัสผ่านแบบวลียังคงต้องระมัดระวังเป็นพิเศษ
รหัสผ่านแบบวลีไม่ได้แข็งแกร่งโดยอัตโนมัติเพียงเพราะประกอบด้วยคำพูดทั่วไป มันยังคงต้องยาวพอ มีความซับซ้อนพอ และไม่ซ้ำใครสำหรับบัญชีนั้นๆ คำคมชื่อดัง เนื้อเพลง หรือวลีที่คุณใช้อยู่ที่อื่นไม่ใช่สิ่งทดแทนที่ดีสำหรับรหัสลับที่สดใหม่จริงๆ
นี่คือจุดที่โหมดจดจำง่าย (Memorable mode) ของเว็บไซต์มีประโยชน์ เพราะช่วยให้คุณสร้างสิ่งที่จดจำได้ง่ายขึ้นโดยไม่หวนกลับไปใช้รูปแบบส่วนตัว วลีโปรดที่ใช้ซ้ำๆ หรือการแทนที่คำที่คาดเดาได้ง่าย
เมื่อไหร่ที่ PIN เหมาะกับอุปกรณ์มากกว่าเว็บไซต์
มีประโยชน์สำหรับบริบทการปลดล็อกอุปกรณ์ในเครื่อง
PIN แบบตัวเลขเหมาะกับบริบทการปลดล็อกในเครื่อง เช่น โทรศัพท์หรือแท็บเล็ตที่มีการจำกัดจำนวนครั้งในการลอง ซึ่งแตกต่างอย่างสิ้นเชิงจากการใช้รหัสลับตัวเลขสั้นๆ เป็นรหัสผ่านหลักสำหรับบัญชีออนไลน์
NIST ได้แบ่งขอบเขตนี้ไว้อย่างชัดเจน ในคำแนะนำเกี่ยวกับรหัสลับสำหรับเปิดใช้งาน (activation-secret) NIST ระบุว่ารหัสลับแบบ PIN สำหรับอุปกรณ์ในเครื่องต้องมีความยาวอย่างน้อย 4 ตัวอักษร และยังระบุว่าควรมีความยาวอย่างน้อย 6 ตัวอักษร นั่นเป็นเกณฑ์มาตรฐานที่มีประโยชน์สำหรับการคิดเรื่องการปลดล็อกอุปกรณ์ ไม่ใช่เหตุผลที่จะนำมาใช้แทนรหัสผ่านบัญชีจริงด้วย PIN สั้นๆ
ทำไม PIN ไม่ควรใช้แทนรหัสผ่านบัญชีที่แข็งแกร่ง
รหัสผ่านเว็บไซต์มักจะปกป้องบัญชีระยะไกลที่อาจเสี่ยงต่อการถูกโจมตีแบบ Credential stuffing การถูกโจมตีด้วยการใช้รหัสผ่านซ้ำ และผลกระทบจากการรั่วไหลของข้อมูลที่กว้างขวาง PIN แบบตัวเลขสั้นๆ นั้นเดาได้ง่ายกว่ามากและมีความยืดหยุ่นน้อยกว่ารหัสผ่านหรือรหัสผ่านแบบวลีเต็มรูปแบบในบริบทนั้น
นั่นคือเหตุผลที่โหมด PIN ของเว็บไซต์ควรได้รับการปฏิบัติในฐานะตัวเลือกเฉพาะทาง ไม่ใช่คำตอบครอบจักรวาล มันเหมาะกับความต้องการในการปลดล็อกอุปกรณ์ในเครื่องบางประเภท แต่ไม่ได้มาแทนที่รหัสลับบัญชีที่แข็งแกร่งสำหรับอีเมล เครื่องมือทำงาน ธนาคาร หรือการเข้าสู่ระบบที่มีความสำคัญสูงอื่นๆ
วิธีเลือกโหมดที่เหมาะสมบนหน้าแรกอย่างรวดเร็ว
จับคู่โหมดให้ตรงกับประเภทการเข้าสู่ระบบก่อนคลิกสร้าง
กฎการตัดสินใจอย่างรวดเร็วช่วยได้ หากรหัสลับนั้นสำหรับบัญชีออนไลน์ทั่วไปและคุณจะจัดเก็บไว้ในโปรแกรมจัดการรหัสผ่าน ให้เลือก Random (สุ่ม) หากคุณต้องพิมพ์บ่อยและต้องการสิ่งที่ใช้งานได้ง่ายสำหรับมนุษย์ ให้เลือก Memorable (จดจำง่าย) หากรหัสลับนั้นสำหรับบริบทการปลดล็อกอุปกรณ์ในเครื่อง ให้เลือก PIN
วิธีนี้จะช่วยให้การตัดสินใจเป็นเรื่องง่ายโดยไม่สะเพร้า คุณไม่ได้กำลังเลือกรูปแบบที่คุณชอบที่สุด แต่คุณกำลังเลือกรูปแบบที่มีความเสี่ยงน้อยที่สุดสำหรับงานนั้นๆ โดยเฉพาะ
คัดลอก จัดเก็บ และหลีกเลี่ยงการใช้ซ้ำในระยะสั้น
การสร้างรหัสเป็นเพียงขั้นตอนแรก นิสัยการจัดเก็บและการใช้งานซ้ำมีความสำคัญไม่แพ้กัน หากรหัสผ่านมีความแข็งแกร่งแต่ถูกนำไปใช้ซ้ำในหลายเว็บไซต์ การรั่วไหลเพียงครั้งเดียวก็อาจทำให้เกิดความเสียหายเป็นวงกว้างได้
คำแนะนำเรื่องรหัสผ่านของ FTC แนะนำให้ใช้รหัสผ่านที่ยาวและไม่ซ้ำกันสำหรับแต่ละบัญชี เพราะการใช้รหัสผ่านซ้ำอาจทำให้หลายบัญชีเสี่ยงเมื่อเว็บไซต์ใดเว็บไซต์หนึ่งถูกแฮ็ก นั่นคือเหตุผลที่ขั้นตอนการทำงานที่ปลอดภัยที่สุดไม่ใช่แค่การสร้างและคัดลอก แต่คือการสร้าง จัดเก็บอย่างถูกต้อง และย้ายไปจัดการบัญชีถัดไปพร้อมรหัสลับชุดใหม่
สิ่งที่ควรทำก่อนสร้างรหัสลับชุดใหม่
เริ่มต้นด้วยการระบุบริบทของการเข้าสู่ระบบเสียก่อน นี่คือบัญชีระยะไกล การเข้าสู่ระบบที่ต้องพิมพ์บ่อยๆ หรือการปลดล็อกอุปกรณ์ในเครื่องกันแน่? เมื่อคำตอบชัดเจน โหมดที่เหมาะสมก็จะปรากฏให้เห็นอย่างชัดเจน
จากนั้นทำการสร้างรหัส คัดลอกอย่างระมัดระวัง และบันทึกไว้ในที่ที่ถูกต้อง เป้าหมายไม่ใช่การสร้างชุดอักขระที่ดูน่าเกรงขามที่สุด แต่คือการสร้างรหัสลับที่แข็งแกร่งพอสำหรับความเสี่ยงและใช้งานได้สะดวกพอที่คุณจะไม่หาวิธีเลี่ยงการใช้งานในภายหลัง
นั่นคือข้อได้เปรียบที่แท้จริงของการมีโหมด Random, Memorable และ PIN ไว้ในที่เดียว คุณสามารถจับคู่โหมดการสร้างให้ตรงกับปัญหา แทนที่จะฝืนใช้รูปแบบเดียวกับทุกสถานการณ์ความปลอดภัย